Über VPN-Tunnel von Extern auf den Pi zugreifen, trotz DS-Lite und ohne beschränkten Routereinstellungen

  • Hallo zusammen,


    mein aktuelles Projekt läuft auf einem Raspberry Pi Zero WH mit dem aktuellen Raspberry PI OS lite. Darauf läuft unter anderem ein Apache2 Server. Ich habe eine Webseite erstellt, die in dem Ordner '/var/www/html/' liegt und diese kann ich im Heimnetzwerk auch wunderbar aufrufen. Ich würde diese Seite aber gerne auch aufrufen können, wenn ich mit anderen, externen Internetverbindungen verbunden bin.

    Der Raspberry Pi ist über diesen Vodafone-Router mit dem Internet verbunden. Dazu kommt das ich einen DS-lite Anschluss habe und der Router sehr beschränkte ist, was die Einstellungen angeht.


    Das Thema gibt es echt oft, aber meistens endet es mit Einstellungen in der FritzBox. Soweit ich das sehe, kann ich keine Portfreigabe oder - weiterleitung bei mir einstellen.

    Kann ich mit OpenVPN den Raspberry so einrichten, dass er über einen VPN-Tunnel von überall erreichbar ist?

    Zu diesem Thema fand ich Hinweise darauf, das ich dann einen externen Server buchen müsste, über denn das dann läuft?


    In diesem Blog, in dem dritten Kommentar schreibt "YACCOB" dass es ohne externen Server möglich wäre, nur kann ich nicht verstehen wie.


    Falls es möglich ist, wäre es doch toll das ganze hier zusammen zu erarbeiten und ich würde mich auch bereit erklären, die Vorgehensweise zusammenzufassen, damit das Thema mal abgehackt ist.


    Die konkrete Fragestellung: Ist es mit dieser Hardware und diesem Internetanschluss möglich ? Wenn ja, ist OpenVPN dafür die richtige Wahl? Was wird noch benötigt ? Eine Adresse bei bspw. "no-ip.com" für die Webseite?


    Ich sehe bei diesem Thema den Wald vor lauter Bäumen nicht mehr. Liegt vielleicht auch daran, das ich mich mit Netzwerk eigentlich so gut wie nicht auskenne.


    Danke für eure Hilfe :)


    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • n dem dritten Kommentar schreibt "YACCOB" dass es ohne externen Server möglich wäre,

    Nein, scheibt er nicht.

    Quote from YACCOB

    und ohnedies Zugang zu einem externen Server mit fixer IP brauchst, könntest Du ja vom Raspberry aus einen reverse tunnel zum externen Server einrichten

    und bezieht sich wahrscheinlich dabei auf den genannten Portmapper-Dienst.

    Die konkrete Fragestellung: Ist es mit dieser Hardware und diesem Internetanschluss möglich ?

    Imho via IPv4 nicht ohne externen Server/Service. Via IPv6 ja, aber dann muss der zugreifende Client IPv6 haben, was in vielen Mobilfunknetzen (noch?) nicht der Fall ist.

    Menschen die keine Ironie verstehen finde ich super!

  • Hallo llutz


    Danke für deine Antwort.


    Ja du hast recht, da habe ich wohl was überlesen :blush:


    Bei Strato kann man Server mieten, die haben hier einen V-Server für einen Euro pro Monat.

    Ist dass das was ich brauche?


    Kann man mir bitte erklären zu was ich den denn genau brauche? Und wäre es möglich zwei Raspberrys aus unterschiedlichen Netzwerken mit dem Server zu verbinden und ich kann dann auf beide von extern zugreifen? (Wenn ich schon was mieten muss, könnte ich mir überlegen meine Cloud auch öffentlich zu machen)



    Edit:

    Hallo Linus Danke für die Information, werde ich machen :)


    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • Kann man mir bitte erklären zu was ich den denn genau brauche?

    Einen vserver mit der Möglichkeit eigene Kernelmodule einzubinden (wireguard), falls die angebotenen Distros das noch nicht mitbringen.

    Weiterhin: Grundlagenwissen. Lese Dich ins Thema ein - einfach einen vserver ins Netz zu stellen, noch dazu ggf. mit public Nextcloud, geht gern ganz schnell schief.


    PS Ein günstiger, geeigneter VServer ist zB vps200 g8 (KVM) bei Netcup. Kostet keine 3€ und hat sich als sehr zuverlässig erwiesen - arbeitet als wireguard-gateway unter Debian Buster. Ist allerdings nur mit 200mbit/s angebunden.


    PPS Eigene Domain bei Domainers ( .de ca 2.50€/Jahr) + DNS bei he.net, inkl. Dyndns.

    Menschen die keine Ironie verstehen finde ich super!

    Edited 2 times, last by llutz ().

  • Bei Strato kann man Server mieten, die haben hier einen V-Server für einen Euro pro Monat.

    Ist dass das was ich brauche?

    Damit geht sowas, ja. "danach 15 €/Mon." hast du aber übersehen?!

    Und wäre es möglich zwei Raspberrys aus unterschiedlichen Netzwerken mit dem Server zu verbinden und ich kann dann auf beide von extern zugreifen?

    Ja. Oder auch drei. ;)

    Kann man mir bitte erklären zu was ich den denn genau brauche?

    Eine permanente Verbindung zwischen dem jeweiligen Pi und dem Server (z.b. via OpenVPN, SSH oder eben WireGuard) - diese wird vom Pi aufgebaut, da dieser die öffentliche Adresse vom Server kennt und diesen erreichen kann. Der Server hingegen kann zum Pi in deinem Heimnetz ohne weiteres aber keine Verbindung aufbauen.

    Sobald dieser Tunnel besteht ist er aber bi-direktional, und du kannst im Grunde einfach einen Reverse-Proxy a la Nginx davor schalten.


    Edit: Volle Zustimmung mit llutz, im Detail solltest du dir das selbst erarbeiten, sonst ist es für dich nicht wartbar.

  • Danke für die Erklärungen. Da es in meinem Fall dann nur mit diesem Weg geht, werde ich mich mal schlau machen :thumbup:


    Das mit dem einen Euro sollte nur als Beispiel dienen, damit ich weis um was für ein Server es sich handeln muss.


    Wenn es an das eingemachte geht, werde ich mich wieder melden, gerade weil es öffentlich wird möchte ich das nichts schief geht.



    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • DS-Lite bedeutet, dass man eine WAN-IP aus einem Bereicht hat, die man sich über eine Proxy mit anderen teilt.

    Hier ist ein VPN-Tunnel schwierig, aber nicht unmöglich über IPv4.


    Da man bei DS-Lite aber auch mindestens eine IPv6-Adresse hat, und diese alleine für sich, sollte man überlegen, ob man den Tunnel nicht über IPv6 realisiert.

    Selber denken,
    wie kann man nur?

  • Damit geht sowas, ja. "danach 15 €/Mon." hast du aber übersehen?!

    Bei Ionos 1 Euro dauerhaft


    Tarif VPS S

    Ubuntu 20.04

    deutsches Rechenzentrum

    kein Cloud-Backup


    Perfekt für diesen Zweck


    Link zum Produkt

  • [Anschluss mit cgn] Hier ist ein VPN-Tunnel schwierig, aber nicht unmöglich über IPv4.

    Erzähl doch bitte mal wie, ohne externen Server/Service. Das interessiert sicherlich viele RPi-Nutzer mit dslite etc.

    Menschen die keine Ironie verstehen finde ich super!

  • Guten Abend,


    ich habe mal recherchiert und zum Thema WireGuard und VPN Server gibt es einige Anleitungen, die sich schon ähnlich sind.

    Da ich ich nicht irgendwie irgendwas auf einem VServer installieren will, dachte ich mir, ich versuche das erst mal im eigenen Netzwerk. Habe meinen Pi Zero mit einem frisch installierten Raspberry OS gestartet und bin dann dieser Anleitung gefolgt.


    Ziel soll sein, das mein Pi Zero den späteren VServer darstellt und ich mich mit meinem Fedora-Laptop mittels VPN-Tunnel zu dem Pi verbinden kann.


    In Punkt 13 der Anleitung erstellt man einen Puplic-Key und hier bekomme ich eine Fehlermeldung beim ausführen dieses Befehls:

    wg genkey | tee server_private.key | wg pubkey > server_public.key


    Ausgabe:

    Code
    > server_public.key
    Segmentation fault

    Im Zusammenhang mit der Key-Erstellung konnte ich zu diesem Fehler nichts brauchbares finden.


    Könnt ihr mir weiterhelfen?


    Zur Installation von WireGuard noch eine Info: In Punkt 3 habe ich "Für Raspbian 10" ausgewählt.


    Edit: Der Fehler tritt auf wenn ich ihn als 'pi' ausführe, wenn ich ihn als 'pi' mit sudo ausführen und wenn ich ihn als 'root' ausführe.


    Danke und Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

    Edited once, last by Dennis89 ().

  • Versuch mal mit:

    Code
    cd /etc/wireguard
    sudo wg genkey > private.key
    sudo wg pubkey > public.key < private.key
    sudo wg genpsk > psk.key 

    Quelle: https://wiki.ubuntuusers.de/Wi…/#Einmalige-Konfiguration


    Siehe auch: https://wiki.debian.org/WireGu…-_Alternative_C_-_systemd

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Hallo rpi444


    Danke für deine Antwort. Ich bekomme leider die gleiche Fehlermeldung. Habe Raspberry Pi OS auch noch mal neu aufgesetzt um sicher zu gehen, das ich nichts falsch gemacht habe. Aber weder deine, noch die Befehle in der Anleitung funktionieren zur Erstellung der Key's.


    Die von dir verlinkten Alternativen auf wiki.debain benötigen auch einen Key, wenn ich das richtig verstanden habe? Oder habe ich da was übersehen?


    Ich habe in letzter Zeit versucht, etwas Wissen in Bezug auf die VPN Verbindung aufzubauen und die Keys sind unverzichtbar für eine sichere Verbindung oder gibt es gleichwertige Alternativen?


    Danke und Grüße


    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • Ich bekomme leider die gleiche Fehlermeldung.

    Mit was bekommst Du die gleiche Fehlermeldung?


    Wie ist die Ausgabe von:

    Code
    openssl rand -base64 32

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Guten Morgen und Danke für die Antwort @rpi4444


    Mit was bekommst Du die gleiche Fehlermeldung?

    Mit deinem Vorschlag:

    Versuch mal mit:
    Code
    cd /etc/wireguard
    sudo wg genkey > private.key
    sudo wg pubkey > public.key < private.key
    sudo wg genpsk > psk.key


    openssl rand -base64 32

    Bin leider erst wieder heute Abend zu Hause, dann liefere ich die Information nach.


    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • Mit deinem Vorschlag:

    OK, dann poste auch die Ausgaben von:

    Code
    apt-cache policy wireguard-tools
    which wg
    file $(which wg)
    ldd $(which wg)
    whoami
    uname -a

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden